El año pasado hicimos predicciones sobre la Tendencias en ciberseguridad que definirían el 2023. Ahora que el año está llegando a su fin, es hora de revisar esos pronósticos y ver en qué estábamos en lo cierto y en qué es posible que hayamos fallado.

Lo que está muy claro es que, si bien algunas tendencias se mantuvieron, otras dieron giros inesperados. Nuestra predicción de que los ataques a la cadena de suministro persistirían sonó especialmente cierta, ya que Incidentes significativos en Capita, la Policía del Reino Unido y 3CX demostrado. Como se anticipó, también se intensificó el auge de los dispositivos IoT y la regulación de estos dispositivos.

Sin embargo, algunas tendencias, como el impulso a la armonización global de las regulaciones de datos, no avanzaron tan rápido como se predijo. Y la autenticación sin contraseña, aunque está ganando fuerza, aún no reemplaza completamente a las contraseñas.

Esta publicación de blog reexaminará cada tendencia que pronosticamos y analizará la situación actual. Al revisar nuestros aciertos y errores, nuestro objetivo es proporcionar una evaluación honesta de las tendencias de ciberseguridad que importan ahora y equipar a las organizaciones con los conocimientos necesarios para prepararse para el próximo año.

Tendencia 1: un enfoque de seguridad de la información que prioriza la privacidad

El año pasado, predijimos que 2023 marcaría el comienzo de un enfoque de ciberseguridad que prioriza la privacidad, impulsado principalmente por el fortalecimiento de las regulaciones de privacidad de datos en todo el mundo. Este pronóstico resultó acertado, ya que la privacidad se convirtió en una consideración central para los formuladores de políticas y los líderes tecnológicos.

De hecho, las principales plataformas como Google cambiaron hacia modelos centrados en la privacidad: la desaprobación de las cookies de terceros en Chrome y la lanzamiento de la iniciativa Privacy Sandbox Enfatizó la privacidad del usuario. Aunque imperfectos, estos cambios representan un cambio sísmico para la industria de la tecnología publicitaria. Apple también amplió su impulso a la privacidad con nuevas actualizaciones de su Transparencia de seguimiento de aplicaciones.

El creciente mosaico de leyes de privacidad de datos también obligó a las organizaciones a priorizar la privacidad. 

Europa

GDPR siguió siendo el referente de los derechos digitales. 

Incluso las jurisdicciones sin leyes específicas sintieron presión para alinearse con GDPR para permitir los flujos de datos, con un esfuerzo y tiempo considerables dedicados a crear puentes de datos para permitir que los datos se transfieran a través de fronteras geográficas de manera compatible. 

Estados Unidos

California lideró la carga con una Ley de Privacidad del Consumidor de California enmendada que entrará en vigor en 2023. Otros estados, incluidos Virginia, Colorado, Utah y Connecticut, también han promulgado sus propias leyes de privacidad. 

A nivel federal, Proyectos de ley del Congreso como la Ley de Cuidado de Datos y la Ley de Privacidad en Línea indican un impulso más amplio para establecer un marco nacional de privacidad.

APAC

En China, se ha ido implementando contenido más detallado paso a paso en la Ley de Protección de Información Personal (PIPL) con un enfoque en los procedimientos de evaluación de la seguridad de las exportaciones y las cláusulas contractuales estándar (SCC) para las exportaciones de datos. y Ley de protección de datos personales digitales propuesta por la India movió la aguja en Asia. Mientras estaba en Australia, el gobierno planeó revisar la Ley de Privacidad, con varios cambios propuestos para modernizarla y hacerla más relevante en la era digital.

Esta expansión de la legislación sobre privacidad a nivel mundial hizo que el cumplimiento fuera más complejo, pero reforzó la seguridad de la información que da prioridad a la privacidad.

Nuestra predicción sobre los marcos de privacidad también resultó cierta. Adopción de estándares como ISO 27001 e ISO 27701 se aceleraron a medida que las organizaciones buscaban sistematizar sus programas de privacidad. Estos marcos proporcionan hojas de ruta útiles para instituir controles de protección de datos y formalizar la gestión de la privacidad.

Si bien se han logrado avances, el panorama de la privacidad aún está evolucionando. Algunas leyes como PIPL, si bien están vigentes, están evolucionando lentamente y muchas empresas aún carecen de programas de privacidad maduros. Sin embargo, el crecimiento de las regulaciones de privacidad y las crecientes expectativas de los usuarios en torno a la seguridad de los datos han establecido firmemente la privacidad como una de las principales preocupaciones para la ciberseguridad y los líderes empresariales; aquellos que no la prioricen en 2024 corren el riesgo de quedarse atrás de sus pares, reguladores y consumidores. Un enfoque que dé prioridad a la privacidad ya no es opcional sino fundamental para la confianza y el éxito en la economía digital.

Tendencia 2: Armonización global de la regulación de la información, la privacidad y los datos

El año pasado, anticipamos un impulso creciente hacia la armonización de las regulaciones de privacidad y datos a través de las fronteras. La intención era optimizar el cumplimiento para las empresas que operan a nivel mundial y mejorar la interoperabilidad. Sin embargo, las complejidades de conciliar diversos marcos legales significaron que el progreso en este frente fue más moderado de lo esperado.

Se tomaron algunas medidas tentativas para alinear las regulaciones a nivel internacional. Iniciativas como el Marco de Privacidad de Datos UE-EE.UU. centrado en permitir flujos de datos transatlánticos a través de estándares compartidos. APEC continuó desarrollando su sistema de Reglas de Privacidad Transfronteriza para unir las jurisdicciones de Asia y el Pacífico. Sin embargo, persisten brechas significativas entre los principales regímenes de privacidad.

El RGPD de la Unión Europea sigue siendo la ley de protección de datos más amplia del mundo. Los esfuerzos para influir en otras jurisdicciones para que se alineen con el RGPD han logrado resultados mixtos. Leyes como la LGPD de Brasil se inspiraron en el GDPR, pero otras regiones optaron por regulaciones adaptadas. Y países como India y China promulgaron leyes de soberanía de Internet que afirman un mayor control digital.

Los intereses nacionales divergentes presentan un desafío crucial para la armonización. Los gobiernos a menudo consideran que las leyes de privacidad defienden la soberanía y limitan la influencia externa. Esto dificulta políticamente la convergencia en torno a un conjunto estándar de reglas. Las prioridades contrapuestas en torno a la privacidad versus el crecimiento económico también impiden el consenso.

Si bien sigue siendo difícil lograr una armonización sustancial a nivel mundial, las organizaciones aún pueden prepararse para este complejo panorama. Seguir estándares y marcos internacionales reconocidos ayuda a garantizar el cumplimiento básico en todas las jurisdicciones. Invertir en programas de gobernanza de datos adaptables permite adaptarse a los nuevos requisitos. Y monitorear la evolución legal en los mercados objetivo es esencial para mantenerse a la vanguardia del régimen en evolución.

Aunque el camino hacia la armonización es largo, la alineación con los principios básicos de protección de datos podría desarrollarse con el tiempo. Pero la gestión del cumplimiento de normativas dispares probablemente seguirá siendo una realidad en 2024.

Tendencia 3: Un futuro sin contraseñas por delante

El año pasado, predijimos que en 2023 se vería una mayor adopción de la autenticación sin contraseña a medida que las empresas buscaran mejorar la seguridad y la experiencia del usuario. Esta tendencia se desarrolló en gran medida según lo previsto.

Las principales empresas de tecnología ayudaron a acelerar el futuro sin contraseñas mediante implementaciones de alto perfil. Microsoft anunció el inicio de sesión sin contraseña para usuarios comerciales de Azure Active Directory. aprovechando los estándares FIDO para la autenticación multifactor. Apple implementó claves de acceso en iOS 16 y macOS Ventura como una alternativa segura a las contraseñas. Google, Facebook y otros también ampliaron las implementaciones sin contraseña.

La respuesta de los consumidores ha sido en gran medida positiva, ya que los sistemas sin contraseña eliminan la fricción de memorizar credenciales. Sin embargo, para una adopción empresarial más amplia, estos sistemas a menudo se combinan con requisitos de verificación de identidad intensificados que equilibran la seguridad y la usabilidad.

Nuestra predicción sobre la integración de la autenticación sin contraseña con Arquitectura de confianza cero y gestión de acceso a identidades. se mantuvo cierto. A medida que las organizaciones buscan validar las identidades de los usuarios en redes, dispositivos y entornos, los principios de confianza cero ayudan a proteger el acceso. Herramientas como el inicio de sesión único y la autenticación multifactor adaptativa ayudan a administrar los inicios de sesión y al mismo tiempo evitan la reutilización de credenciales.

Sin embargo, las contraseñas persisten en muchos sistemas. Las aplicaciones y servicios heredados que carecen de capacidades de autenticación modernas plantean barreras para eliminar completamente las contraseñas. Y los costos de renovar la infraestructura heredada pueden ralentizar la adopción. Entonces, si bien continúa el impulso hacia la tecnología sin contraseña, es posible que la muerte de la contraseña aún no haya llegado por completo.

En el próximo año, esperamos una mayor integración de sistemas sin contraseña con protecciones de gestión de identidad en capas. Las organizaciones preocupadas por los riesgos de phishing podrían probar primero implementaciones sin contraseña en áreas de bajo riesgo. Y la educación de los usuarios será esencial, ya que la tecnología sin contraseña representa un cambio en el comportamiento de inicio de sesión que se remonta a décadas atrás. Pero si se utilizan con prudencia, las estrategias sin contraseña y de confianza cero pueden llevar la gestión de identidades al siguiente nivel.

Tendencia 4: El problema de la cadena de suministro persiste

El año pasado, pronosticamos que los ciberataques a la cadena de suministro se intensificarían a medida que los actores de amenazas buscaran nuevos puntos de infiltración. Desafortunadamente, esta predicción se materializó plenamente, con incidentes importantes que demostraron la continua vulnerabilidad de la cadena de suministro.

Varias empresas de alto perfil fueron víctimas de sofisticados ataques a la cadena de suministro en 2023, incluidas BA, Boots y la BBC, que fueron violadas mediante el uso de una herramienta de transferencia de archivos llamada MOVEit por parte de sus empresas de nómina. El gigante tecnológico Okta también sufrió una violación de los datos de más de 5,000 empleados a través de un proveedor de atención médica externo. Y las bandas de ransomware se dirigieron cada vez más a los proveedores de servicios gestionados para acceder a sus clientes.

Estos incidentes subrayan los riesgos de que se pasen por alto vínculos débiles y de que los socios confíen demasiado. En respuesta, las empresas duplicaron sus estrategias cibernéticas en la cadena de suministro, adoptando marcos como ISO 27001 y NIST para establecer controles y procesos integrales de seguridad de la información que tengan en cuenta las interacciones con terceros; Esto incluye implementar revisiones de seguridad periódicas para los proveedores, priorizar la seguridad en la nube para bloquear los entornos de los proveedores y presionar a los proveedores de servicios administrados para que demuestren su preparación cibernética a los clientes.

Si bien son pasos positivos, la seguridad de la cadena de suministro sigue siendo un trabajo en progreso para muchas organizaciones. Los cambios culturales toman tiempo, ya que la confianza profundamente arraigada entre socios no se puede desmantelar de la noche a la mañana. Pero las amenazas seguirán evolucionando, lo que significa que la vigilancia de la cadena de suministro no puede disminuir.

De cara al futuro, esperamos que los programas de gestión de riesgos de terceros (TPRM) se vuelvan omnipresentes en todas las industrias. La ciberseguridad será un factor cada vez más importante en las decisiones de adquisiciones. Y la supervisión de los proveedores se reforzará mediante auditorías y divulgaciones obligatorias. Si bien el problema de la cadena de suministro no desaparecerá en 2024, las empresas han renovado el imperativo de abordar estas amenazas persistentes.

Tendencia 5: panorama de riesgos del Internet de las cosas (IoT)

El año pasado, anticipamos que la proliferación de dispositivos IoT ampliaría la superficie de ataque para las organizaciones. Este pronóstico se confirmó, ya que la IoT no segura surgió como un talón de Aquiles en los incidentes cibernéticos de 2023.

Los atacantes apuntaron constantemente a dispositivos IoT vulnerables para obtener acceso a la red. Las vulnerabilidades de Log4j en los sistemas de IoT se aprovecharon para implementar mineros criptográficos. Los dispositivos IoT sanitarios desprotegidos se vieron comprometidos para robar datos de pacientes. Los ataques DDoS aprovecharon cámaras y enrutadores de IoT mal protegidos para abrumar a las víctimas.

En respuesta, las tan esperadas regulaciones de seguridad de IoT ganaron fuerza a nivel mundial este año. La Ley de Resiliencia Cibernética de la UE exigirá estándares básicos de seguridad de IoT a partir de 2024. EE. UU., Reino Unido y otros están aplicando reglas similares para cerrar las vulnerabilidades de IoT. Estas leyes tienen como objetivo frenar la propagación de dispositivos que no cumplen con las normas.

En el lado empresarial, los equipos de TI se apresuraron a inventariar los activos conectados, actualizar el firmware de los dispositivos IoT y monitorear el tráfico en los entornos IoT. La segmentación de las redes de IoT ayudó a limitar el movimiento lateral después de la infiltración. Pero para muchos, la escala desconocida y no gestionada de la IoT dificultó la remediación oportuna.

Mientras los reguladores y las empresas trabajan para abordar los riesgos, la integración de IoT continúa proliferando rápidamente. Gartner predice que habrá más de 30 mil millones de dispositivos IoT para 2025, frente a los 11.4 mil millones en 2021. Esta expansión masiva del panorama de IoT desafiará incluso los regímenes de seguridad de dispositivos más sólidos.

En 2024, esperamos que la gestión de la seguridad de IoT se convierta en un área de enfoque dedicada. Las organizaciones adoptarán herramientas de acceso y visibilidad de IoT para controlar la expansión de dispositivos. Y más empresas buscarán plataformas que simplifiquen la gestión de activos y la detección de amenazas en ecosistemas complejos de IoT. Pero restringir esta superficie de ataque cada vez mayor requerirá esfuerzos vigorosos y coordinados.

Tendencia 6: Gestionar la brecha de habilidades en ciberseguridad de manera creativa

El año pasado, predijimos que surgirían enfoques creativos para ayudar a gestionar la escasez de habilidades en ciberseguridad que limita a los equipos de seguridad. 

Dado que los roles cibernéticos seguían careciendo crónicamente de personal, las empresas se volvieron creativas a la hora de buscar talento, reclutando en campos adyacentes como TI, cumplimiento e ingeniería para acceder a reservas de talentos no explotados. Los programas de aprendizaje ayudaron a formar candidatos interesados ​​que carecían de experiencia directa. Y destacar las habilidades más interpersonales para los roles cibernéticos alentó a grupos más amplios de candidatos.

La subcontratación también creció para optimizar procesos y liberar recursos cibernéticos internos. Los MSSP asumieron la supervisión y la respuesta subcontratadas para los centros de operaciones de seguridad sobrecargados. Los proveedores de la nube proporcionaron servicios de seguridad gestionados para reducir las cargas de infraestructura. Y los consultores aportaron conocimientos especializados para colmar las lagunas de conocimiento.

Sin embargo, la subcontratación introduce riesgos potenciales, como se observa en importantes infracciones de terceros, si no se gestiona de cerca. Y las empresas todavía necesitaban ayuda para conseguir un liderazgo senior en ciberseguridad; un vacío que la subcontratación no podía llenar.

De cara a 2024, la gestión de la fuerza laboral cibernética seguirá siendo imperativa. Es probable que se amplíen los programas de capacitación, la contratación creativa y un mejor uso de los recursos a través de la subcontratación. Sin embargo, persiste una grave escasez de habilidades cibernéticas avanzadas. La dependencia de la industria de personal de seguridad sobrecargado pero esencial continuará en el futuro previsible. La creatividad y la inversión continuas serán vitales para el éxito.

Conclusiones clave: el camino hacia una ciberseguridad más sólida

Si 2023 ha enseñado algo a las empresas es que la información eficaz y la ciberseguridad son ahora esenciales para el éxito empresarial. 

Ciertas tendencias, como los ataques a la cadena de suministro y la expansión de la IoT, se aceleraron claramente según lo previsto. Pero otras áreas, como la adopción sin contraseña y la regulación global, avanzaron más gradualmente de lo esperado. Todo lo cual subraya que la ciberseguridad requiere agilidad y vigilancia. La complacencia es peligrosa cuando las amenazas se transforman con tanta facilidad. 

Para mantenerse a la vanguardia, las organizaciones deben monitorear las tendencias continuamente, no solo anualmente. Deberían poner a prueba con cautela las soluciones emergentes, incluso cuando las promesas sean grandes. Invertir en bases adaptables como marcos de seguridad, seguridad basada en riesgos y desarrollo de la fuerza laboral permite pivotar para enfrentar nuevos desafíos.

Mientras miramos hacia 2024, cabe esperar una mayor volatilidad, desde tensiones geopolíticas que impulsan ataques patrocinados por el Estado hasta la computación cuántica y la inteligencia artificial que introducen nuevos riesgos tecnológicos. La colaboración será fundamental, desde asociaciones público-privadas hasta ecosistemas de proveedores que se asocien para aumentar la resiliencia básica en las cadenas de suministro interconectadas. El riesgo cibernético llegó para quedarse, pero nuestros esfuerzos colectivos pueden crear un ecosistema digital más confiable que equilibre el progreso y la protección.